Npm kayıt defterine yüklenen kötü amaçlı bir paketin, güvenliği ihlal edilmiş Windows makinelerine gelişmiş bir uzaktan erişim truva atı dağıttığı tespit edildi.
“OSuyumlu” adı verilen paket, 9 Ocak 2024’te yayınlandı ve yayından kaldırılmadan önce toplam 380 indirme sayısına ulaştı.
Yazılım tedarik zinciri güvenlik firması Phylum’a göre os uyumluluğu, bir JavaScript dosyasının yanı sıra tek bir yürütülebilir dosya, bir dinamik bağlantı kitaplığı (DLL) ve şifrelenmiş bir DAT dosyası da dahil olmak üzere “birkaç garip ikili dosya” içeriyordu.
Bu JavaScript dosyası (“index.js”) bir “autorun.bat” toplu komut dosyasını çalıştırır, ancak bunu yalnızca hedef makinenin Microsoft Windows’ta çalışıp çalışmadığını belirlemek için bir uyumluluk kontrolü çalıştırdıktan sonra gerçekleştirir.
Platform Windows değilse, kullanıcıya betiğin Linux’ta veya tanınmayan bir işletim sisteminde çalıştığını belirten bir hata mesajı görüntüler ve onları “Windows Sunucu İşletim Sistemi” üzerinde çalıştırmaya teşvik eder.
Toplu komut dosyası, yönetici ayrıcalıklarına sahip olup olmadığını doğrular ve değilse, bir PowerShell komutu aracılığıyla “cookie_exporter.exe” adlı meşru bir Microsoft Edge bileşenini çalıştırır.
İkili dosyayı çalıştırmayı denemek, hedeften bunu yönetici kimlik bilgileriyle yürütmesini isteyen bir Kullanıcı Hesabı Denetimi (UAC) istemini tetikler.
Tehdit aktörü bunu yaparken DLL arama sırası ele geçirme adı verilen teknikten yararlanarak DLL (“msedge.dll”) dosyasını çalıştırarak saldırının bir sonraki aşamasını gerçekleştirir.
Kitaplığın truva atı haline getirilmiş sürümü, DAT dosyasının (“msedge.dat”) şifresini çözmek ve “msedgedat.dll” adlı başka bir DLL başlatmak için tasarlanmıştır; bu DLL, daha sonra “kdark1″ adlı aktör tarafından kontrol edilen bir alanla bağlantılar kurar.[.]Bir ZIP arşivini almak için com”.
ZIP dosyası, AnyDesk uzak masaüstü yazılımının yanı sıra WebSockets aracılığıyla bir komut ve kontrol (C2) sunucusundan talimatlar alabilen ve ana bilgisayardan hassas bilgiler toplayabilen bir uzaktan erişim truva atı (“verify.dll”) ile birlikte gelir. .
Ayrıca “Güvenli Tercihler’e Chrome uzantılarını yükler, AnyDesk’i yapılandırır, ekranı gizler ve Windows’un kapatılmasını devre dışı bırakır, [and] Phylum, klavye ve fare olaylarını yakalıyor” dedi.
Kampanya kapsamında kullanılan tek npm modülü “osuyumlu” gibi görünse de bu gelişme, tehdit aktörlerinin tedarik zinciri saldırıları için giderek daha fazla açık kaynaklı yazılım (OSS) ekosistemlerini hedef aldığını bir kez daha işaret ediyor.
“İkili açıdan bakıldığında, verilerin şifresini çözme, iptal edilmiş bir sertifikayı imzalama için kullanma, uzak kaynaklardan diğer dosyaları çekme ve tüm süreç boyunca kendisini standart bir Windows güncelleme işlemi olarak gizlemeye çalışma süreci, normalde gördüklerimizle karşılaştırıldığında nispeten karmaşıktır. OSS ekosistemlerinde” dedi şirket.
Açıklama, bulut güvenlik şirketi Aqua’nın, en çok indirilen 50.000 npm paketinin %21,2’sinin kullanımdan kaldırıldığını ve kullanıcıları güvenlik risklerine maruz bıraktığını açıklamasının ardından geldi. Başka bir deyişle, kullanımdan kaldırılan paketler haftada tahmini 2,1 milyar kez indiriliyor.
Bu, paketlerle ilişkili arşivlenmiş ve silinmiş GitHub depolarının yanı sıra görünür bir depo, taahhüt geçmişi ve sorun takibi olmadan tutulanları da içerir.
Güvenlik araştırmacıları Ilay Goldman ve Yakir Kadkoda, “Bakımcılar güvenlik kusurlarını yamalar veya CVE atamalarıyla ele almak yerine, etkilenen paketleri kullanımdan kaldırmayı tercih ettiğinde bu durum kritik hale geliyor” dedi.
“Bunu özellikle endişe verici kılan şey, zaman zaman bu bakımcıların paketi resmi olarak npm’de kullanımdan kaldırılmış olarak işaretlememesi ve potansiyel tehditlerden habersiz kalan kullanıcılar için bir güvenlik açığı bırakmasıdır.”